gaojiewyh
- 浏览: 762131 次
- 性别:
- 来自: 深圳
-
文章分类
- 全部博客 (241)
- 个人思考 (1)
- 数据库 (5)
- java基础 (32)
- 软件工程 (2)
- zk开源框架 (15)
- 设计模式 (25)
- javascript (12)
- css (9)
- UML (2)
- CMMI软件需求 (3)
- CMMI软件设计 (2)
- CMMI软件实现 (1)
- CMMI软件测试 (1)
- 正则表达式 (4)
- 系统日志配置 (4)
- 应用服务器 (1)
- spring (7)
- XML (6)
- java web (10)
- Ajax (3)
- RichFaces (14)
- 问题 (1)
- 评论文章 (2)
- fushioncharts (2)
- MAVN (4)
- jquery (26)
- Ext js学习 (2)
- 学习心得 (2)
- CSS兼容问题 (3)
- XSL-FOP (1)
- Quartz (0)
- OSGI (1)
- spring--security (6)
- apache tools (1)
- eclispe 小技巧 (2)
- Ant (1)
- 杂记 (1)
- spring3系列 (5)
- java cache (4)
- EffectiveJava (2)
- 代码重构 (0)
最新评论
-
psz6696:
可以说是超级简单的Demo了,可惜没有演示设值注入和构造注入两 ...
模拟spring中的ClassPathXmlApplicationContext类的实现 -
ziyourJava:
[flash=200,200][img][url][list] ...
spring security进级篇 V 自定义标签控制显示 -
ztw1122:
...
zk组件开发指南(目录) -
zjysuv:
容我说一句 在座的各位都是垃圾 spring 3.2以后的@C ...
三. spring mvc 异常统一处理 -
chengwu1201:
二 基于Spring的异常体系处理
本篇文章用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置在XML中实现的。
在本篇中需要把用户和权限信息存到数据库中,本例子采用mysql数据库,数据库表如下:
CREATE TABLE users(
username VARCHAR(50) NOT NULL,
password VARCHAR(50) NOT NULL,
enabled BOOLEAN NOT NULL,
PRIMARY KEY (username)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE authorities (
username VARCHAR(50) NOT null,
authority VARCHAR(50) NOT null,
CONSTRAINT fk_authorities_users FOREIGN KEY(username) REFERENCES users(username)
)ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE UNIQUE INDEX ix_auth_username ON authorities (username,authority);
INSERT INTO users(username,password,enabled) values('admin','21232f297a57a5a743894a0e4a801fc3',1);
INSERT INTO users(username,password,enabled) values('user','ee11cbb19052e40b07aac0ca060c23ee',1);
INSERT INTO authorities VALUES('admin','ROLE_ADMIN');
INSERT INTO authorities VALUES('user','ROLE_USER');
创建名字为sping_security数据库,同时为该工程配置数据库信息,本例子采用了连接池的方式C30,配置如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop"
xmlns:tx="http://www.springframework.org/schema/tx" xmlns:context="http://www.springframework.org/schema/context"
xmlns:jee="http://www.springframework.org/schema/jee"
xmlns:p="http://www.springframework.org/schema/p"
xsi:schemaLocation="
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd
http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee.xsd">
<description>dataSource配置</description>
<!-- 指定数据库配置文件地址. -->
<context:property-placeholder location="classpath*:datasource/jdbc.properties"/>
<!-- 定义数据源Bean,使用C3P0连接池数据源实现 -->
<bean name="spring_security_dataSource" id="spring_security_dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"
destroy-method="close">
<!-- 指定连接数据库的驱动 -->
<property name="driverClass" value="${jdbc.driverClassName}" />
<!-- 指定连接数据库的URL -->
<property name="jdbcUrl" value="${jdbc.url}" />
<!-- 指定连接数据库的用户名 -->
<property name="user" value="${jdbc.username}" />
<!-- 指定连接数据库的密码 -->
<property name="password" value="${jdbc.password}" />
<!-- C3p0连接池的配置信息 -->
<!-- 指定连接池中保留的最大连接数. Default:15 -->
<property name="maxPoolSize" value="${cpool.maxPoolSize}" />
<!-- 指定连接池中保留的最小连接数 -->
<property name="minPoolSize" value="${cpool.minPoolSize}" />
<!-- 指定连接池的初始化连接数 取值应在minPoolSize 与 maxPoolSize 之间.Default:3 -->
<property name="initialPoolSize" value="${cpool.initialPoolSize}" />
<!-- 最大空闲时间,60秒内未使用则连接被丢弃。若为0则永不丢弃。 Default:0 -->
<property name="maxIdleTime" value="${cpool.maxIdleTime}" />
<!-- 当连接池中的连接耗尽的时候c3p0一次同时获取的连接数. Default:3 -->
<property name="acquireIncrement" value="${cpool.acquireIncrement}" />
<!--JDBC的标准,用以控制数据源内加载的PreparedStatements数量。但由于预缓存的statements属于单个connection而不是整个连接池所以设置这个参数需要考虑到多方面的因数.如果maxStatements与maxStatementsPerConnection均为0,则缓存被关闭。Default:0 -->
<property name="maxStatements" value="${cpool.maxStatements}" />
<!-- 每60秒检查所有连接池中的空闲连接.Default:0 -->
<property name="idleConnectionTestPeriod" value="${cpool.idleConnectionTestPeriod}" />
<!-- 定义在从数据库获取新连接失败后重复尝试的次数。 Default:30 -->
<property name="acquireRetryAttempts" value="${cpool.acquireRetryAttempts}" />
<!--获取连接失败将会引起所有等待连接池来获取连接的线程抛出异常。但是数据源仍有效保留,并在下次调用getConnection()的时候继续尝试获取连接。如果设为true,那么在尝试获取连接失败后该数据源将申明已断开并永久关闭。Default:false -->
<property name="breakAfterAcquireFailure" value="${cpool.breakAfterAcquireFailure}" />
<!--跟性能消耗大请只在需要的时候是哟个它。如果设为true,那么在每个connection提交的时候都将校验其有效性。建议使用idleConnectionTestPeriod或automaticTestTable等提升连接测试的性能。Default:false -->
<property name="testConnectionOnCheckout" value="${cpool.testConnectionOnCheckout}" />
<!--连接关闭时默认将所有未提交的操作回滚。Default: false -->
<property name="autoCommitOnClose" value="${cpool.autoCommitOnClose}" />
<!--当连接池用完时客户端调用getConnection()后等待获取新连接的时间,超时后将抛出 SQLException,如设为0则无限期等待。单位毫秒。Default:0 -->
<property name="checkoutTimeout" value="${cpool.checkoutTimeout}" />
<!--c3p0将建一张名为Test的空表,并使用其自带的查询语句进行测试。如果定义了这个参数那么属性preferredTestQuery将被忽略。你不能在这张Test表上进行任何操作,它将只供c3p0测试使用。Default:
null -->
<property name="automaticTestTable" value="${cpool.automaticTestTable}" />
</bean>
</beans>
jdbc properties
# 数据库配置信息 jdbc.driverClassName=com.mysql.jdbc.Driver jdbc.url=jdbc:mysql://localhost:3306/spring_security?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true jdbc.username=root jdbc.password=root # 数据库连接池信息配置 # Connection pool size cpool.maxPoolSize=25 cpool.minPoolSize=10 cpool.initialPoolSize=15 # How long to keep unused connections around(in seconds) # Note: MySQL times out idle connections after 8 hours(28,800 seconds) # so ensure this value is below MySQL idle timeout cpool.maxIdleTime=7200 # Acquiring new connections is slow, so eagerly retrieve extra connections # when current pool size is reached cpool.acquireIncrement=5 cpool.maxStatements=0 cpool.idleConnectionTestPeriod=60 cpool.acquireRetryAttempts=30 cpool.breakAfterAcquireFailure=true cpool.testConnectionOnCheckout=false cpool.autoCommitOnClose=true # Time to wait for an open connection before timing out # (in milliseconds) cpool.checkoutTimeout=5000 cpool.automaticTestTable=test
针对权限问题,我们建立了如下的几个页面,用于验证不同权限问题
(1) admin.jsp页面,只允许admin访问。
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>管理员页面</title>
</head>
<body>
欢迎管理员
</body>
</html>
(2) 页面无权限时403页面,该页面用于显示无权限的页面accessDefined
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>无权访问</title>
</head>
<body>
你的访问被拒绝,无权访问该资源!
</body>
</html>
(3)在index页面显示用户,注意在页面显示用户信息的时候我们采用了spring security的特殊标签,如果想在java代码中获取用户的信息,采用如下的方式:
同时,我们添加了用户退出按钮,代码如下:
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<%@taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
<%@taglib prefix="c" uri="http://java.sun.com/jstl/core"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>首页</title>
</head>
<body>
<h1>这里是首页,<sec:authentication property="name"/>!</h1>
<%
String[] str = session.getValueNames();
for(int i=0;i<str.length;i++){
out.println("key=="+str[i]);
out.println("value=="+session.getAttribute(str[i]));
}
%>
<br/>
<a href="admin.jsp">进入admin.jsp</a>
<!-- 页面退出的时候 应用spring security的固定url地址-->
<br/>
<a href="${pageContext.request.contextPath}/j_spring_security_logout" />Logout</a>
</body>
</html>
工程结构如下:
(3)部署,我们首先验证权限问题,当admin进入时页面直接显示admin的名字,同时我们访问”进入adim.jsp“,界面过程如下:
(4)更换user用户登录,访问admin页面时,界面过程如下:
(5) 验证下退出后的情况,当我们点击退出时,直接返回登录界面,点击浏览器后退按钮,返回到原先的界面,点击链接,此时又返回到登录界面,说明退出按钮的session被清空,起作用了。
关于权限的控制,spring security提供了标签,直接控制菜单的显示与否,标签用法如下:
<sec:authorize ifAllGranted="ROLE_ADMIN" >
<a href="admin.jsp">进入admin.jsp页面</a>
</sec:authorize>
sec:authorize 标签的属性:
A) ifAllGranted:只有当前用户拥有所有指定的权限时,才能显示标签体的内容 (相当于“与” 的关系)
B) ifAnyGranted:当前用户拥有指定的权限中的一个的时候,就能显示标签内部内容(相当于“或”的关系)
C) ifNotGranted:没有指定的权限的时候,显示标签体的内容 (相当于“非”的关系)
或者可如下方式写
<sec:authorize url="/admin.jsp" >
<a href="admin.jsp">进入admin.jsp页面</a>
</sec:authorize>
分享到:
评论
4 楼
cfnet
2012-02-28
以前也用过Spring Security,感觉要使用它实现复杂的权限及细粒度控制权限非常麻烦,到后来项目完成了,但Security已经被我改得面目全非,最近在使用Shiro,感觉比Spring Security好多了。
3 楼
bingfengfzl
2011-12-21
顺便也发给我一份好了623129207@qq.com
2 楼
almtalmt
2011-11-12
楼主你好,我导入所有包后还是报错:
import com.spring.security.dao.UserDao;
import com.spring.security.dao.support.SimpleDaoSupport;
import com.spring.security.service.CustomAccessDecisionManager;
import com.spring.security.service.CustomFilterSecurityInterceptor;
import com.spring.security.dao.ResourceDao;
import com.spring.security.service.CustomInvocationSecurityMetadataSource;
import com.spring.security.dao.UserDao;
import com.spring.security.service.CustomUserDetailsService;
这些类都找不到,可以的话麻烦楼主给我发份完整的源码好么?谢谢。邮箱:346527107@qq.com
import com.spring.security.dao.UserDao;
import com.spring.security.dao.support.SimpleDaoSupport;
import com.spring.security.service.CustomAccessDecisionManager;
import com.spring.security.service.CustomFilterSecurityInterceptor;
import com.spring.security.dao.ResourceDao;
import com.spring.security.service.CustomInvocationSecurityMetadataSource;
import com.spring.security.dao.UserDao;
import com.spring.security.service.CustomUserDetailsService;
这些类都找不到,可以的话麻烦楼主给我发份完整的源码好么?谢谢。邮箱:346527107@qq.com
1 楼
almtalmt
2011-11-12
121111111
发表评论
-
spring security 工程源码
2012-04-27 11:08 0spring security project source -
spring security进级篇VI JCaptcha验证编码的使用
2012-04-27 10:52 3799在spring security中,可以结合jcaptcha进 ... -
spring security进级篇 V 自定义标签控制显示
2012-04-27 10:30 6383上篇提到了,将用户,角色,组,权限存放到数据库中,会遇到UI上 ... -
spring security3进级篇III
2011-10-31 18:11 5230在spring security3进级篇II中,虽 ... -
spring-security3 进级篇I
2011-08-18 15:20 5372在上一篇入门中,简单 ... -
spring-security3 入门篇
2011-08-18 12:36 27061.下载spring security的最新版本,工程下载的是 ...
相关推荐
这篇"Spring Security进阶篇 V 自定义标签控制显示"的博客文章显然深入探讨了如何在Spring Security中实现自定义的安全控制,以便更好地管理和展示应用内容。在本文中,我们将详细解析这个主题,并与"JSP自定义标签...
本篇将深入探讨Spring Security 3.x的核心概念和主要功能,帮助你快速理解和应用到企业级项目中。 1. **核心概念** - **认证(Authentication)**:Spring Security提供了多种认证机制,如基于表单的身份验证、...
Spring Security 3作为该框架的一个版本,提供了丰富的安全性配置选项,涵盖了从基础的认证和授权到复杂的单点登录和方法保护等各个方面。 ### 基础篇 #### Hello World示例 Spring Security的入门通常以一个简单...
本入门篇将介绍Spring Security的基础知识,包括其核心概念、配置以及如何在实际项目中使用。 1. **核心概念** - **Authentication(认证)**: 用户身份验证是Spring Security的基础,它确认用户的身份是否合法。...
Spring Security是Java平台上的一款强大且高度可定制的安全框架,广泛应用于企业级Web应用的安全管理。本篇文章将围绕"Spring Security 3.1"这一主题,深入探讨其核心概念、功能特性以及实际应用。 一、Spring ...
通过本篇文章的学习,你不仅了解了Spring Security的基本原理和使用方法,还学习了如何在Spring Boot项目中集成和配置Spring Security。这对于开发安全稳定的企业应用来说至关重要。希望你能通过实践进一步掌握...
在 `SpringSecurityTest01` 这个压缩包文件中,你可能找到了一个示例项目,它可能包含了配置类、控制器、视图和测试用例。通过分析这些代码,你可以更深入地理解如何在实际项目中应用 Spring Security。 总之,...
本篇将深入探讨Spring Security 3的核心概念和主要特性。 1. **核心概念** - **Authentication**(认证):确认用户身份的过程,Spring Security提供了多种认证机制,如基于表单的登录、基于HTTP基本认证或OAuth2...
**Spring Security 3 系列文章——入门篇(一)** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用和Spring Boot项目中。本篇将作为Spring Security 3的入门介绍,帮助...
**基础篇**主要介绍如何配置和使用Spring Security。本节将详细介绍Spring Security的基本配置过程,以及如何通过Maven管理项目的依赖。 - **使用Maven管理依赖**:由于Spring框架本身体积较大(Spring.jar就有2M多...
《Spring Security 3.1.0.RC3:企业级安全框架详解》 Spring Security是Java平台上广泛使用的安全框架,其3.1.0.RC3版本为开发者提供了强大而灵活的安全控制,使得构建安全的Web应用变得简单易行。本篇文章将深入...
在本篇关于“Spring Security的学习-3. 自定义数据库表结构”的文档中,我们将探讨如何根据企业特定的需求来定制Spring Security的数据库表结构,并且如何初始化数据以及获取自定义的用户权限信息。Spring Security...
而“保护Web篇”则更深入地探讨如何利用Spring Security来保护Web应用程序的安全。 - **意见反馈与相关信息:** - 鼓励读者提出反馈意见和建议,以便不断完善和改进手册内容。 #### 二、基础篇 - **第1章:一个...
本篇文章将深入探讨Spring Security 3中的核心概念和实现权限管理的相关知识点。 1. **身份验证(Authentication)**:Spring Security通过`Authentication`接口处理用户的身份验证。当用户尝试访问受保护的资源时...
这篇博客将深入探讨Spring Security 3的配置和使用方法。 1. **核心组件** - **SecurityContextHolder**: 它是Spring Security的核心组件,存储当前线程的安全上下文,用于获取认证和授权信息。 - **...
### Spring Security3技术手册知识点概览 #### 一、基础篇 **1. 一个简单的Hello World** - **1.1 配置过滤器** - Spring Security通过一系列的过滤器来实现对Web应用程序的安全控制。了解如何配置这些过滤器是...